• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена много троянов

Статус
В этой теме нельзя размещать новые ответы.

kuss

Активный пользователь
Сообщения
10
Реакции
0
Баллы
391
здраствуйте, просканировала комп,оказалось много троянов. Не знаю,можно ли их удалить или переустанавливать винду надо? Подскажите какой антивирус поставить, у меня сейчас аваст стоит.Помогите,пожалуйста.
Спвсибо
пс: во вложении информация по вашей инструкции
 

Вложения

  • virusinfo_syscure.zip
    28.8 KB · Просмотры: 5
  • virusinfo_syscheck.zip
    26.9 KB · Просмотры: 4
  • log.txt
    32.2 KB · Просмотры: 3
  • info.txt
    15.5 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,666
Баллы
753
Смотрю логи скоро отвечу

Добавлено через 29 минут 24 секунды
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe');
 TerminateProcessByName('E:\Program Files\PCSafeDoctor\pcsafedoctor.exe');
 QuarantineFile('E:\Program Files\PCSafeDoctor\pcsafedoctor.exe','');
 QuarantineFile('E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe','');
 QuarantineFile('E:\Program Files\Best Spyware Scanner\BSSHelper.exe','');
 QuarantineFile('E:\WINDOWS\system32\drivers\RKHit.sys','');
 DeleteFile('E:\Program Files\Best Spyware Scanner\BSSHelper.exe');
 DeleteFile('E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe');
 DeleteFile('E:\Program Files\PCSafeDoctor\pcsafedoctor.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BSSHelper.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BestSpywareScanner.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pcsafedoctor.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKLM\..\Run: [BestSpywareScanner.exe] E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe
O4 - HKLM\..\Run: [BSSHelper.exe] E:\Program Files\Best Spyware Scanner\BSSHelper.exe -0
O4 - HKLM\..\Run: [pcsafedoctor.exe] E:\Program Files\PCSafeDoctor\pcsafedoctor.exe

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

здраствуйте, просканировала комп,оказалось много троянов. Не знаю,можно ли их удалить или переустанавливать винду надо? Подскажите какой антивирус поставить, у меня сейчас аваст стоит.Помогите,пожалуйста.

BestSpywareScanner - Adware.SpywareCease
PCSafeDoctor - Trojan.Fakealert

Вы их сами себе установили!

Ложные антивирусы используются для вымогательства денег у пользователей путём обмана. После установки такая программа производит сканирование компьютера и якобы обнаруживает ещё массу вирусов. Для удаления вредоносного ПО ложный антивирус предлагает купить платную версию программы. Шокированный пользователь платит (суммы колеблются от $10 до $80) и ложный антивирус очищает ПК от несуществующих вирусов.
 

kuss

Активный пользователь
Сообщения
10
Реакции
0
Баллы
391
отправила архив карантин.
файл с антивируса в приложении
 

Вложения

  • mbam-log-2011-08-21 (03-00-23).txt
    3.9 KB · Просмотры: 4

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,666
Баллы
753
Повторите сканирование Malwarebytes' Anti-Malware и удалите только следующие строки:

Код:
e:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken
e:\program files\stfndcsd.dll (Spyware.OnlineGames) -> No action taken.

Повторите логи AVZ и RSIT для контроля
 

kuss

Активный пользователь
Сообщения
10
Реакции
0
Баллы
391
логи в приложении
 

Вложения

  • info.txt
    15.9 KB · Просмотры: 1
  • log.txt
    31.7 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    27.3 KB · Просмотры: 0
  • virusinfo_syscure.zip
    27.1 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,666
Баллы
753
Как самочувствие системы?
 

kuss

Активный пользователь
Сообщения
10
Реакции
0
Баллы
391
еще раз сканирую( в процессе) Malwarebytes' Anti-Malware, вижу,что он опять находит зараженные файлы:(
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,666
Баллы
753
Повторите лог Malwarebytes, возможно ничего страшного.
 

kuss

Активный пользователь
Сообщения
10
Реакции
0
Баллы
391
Добавлено через 1 минуту 7 секунд
а как я узнаю страшное или нет? в прошлый раз он их кучу нашел,практически всех назвал троянами, вы сказали удалить из них два, не совсем понимаю параметры на удаление.:unknw:
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,666
Баллы
753
Часть мы удалим на последнем этапе, другая часть фолсы, MBAM слишком подозрительная программа.
 

kuss

Активный пользователь
Сообщения
10
Реакции
0
Баллы
391
то есть сейчас я вам пришлю повторно логи от мбам. а то что она там найдет мне удалить с ее помощью или оставить?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,666
Баллы
753
Не закрывайте программу тогда, я попытаюсь максимально быстро ответить и сразу если что и удалим.
 

kuss

Активный пользователь
Сообщения
10
Реакции
0
Баллы
391
логи мбам
 

Вложения

  • mbam-log-2011-08-21 (15-18-22).txt
    3.6 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,666
Баллы
753
Вот это удалите:

Код:
e:\Recycled\De1\chrome.exe (Trojan.Agent) -> No action taken.

Кряки и кейгены на Ваше усмотрение, могут быть и вредоносными:

Код:
c:\program files\WinRAR\crack\patch.exe (Malware.Packer.Gen) -> No action taken.
f:\E-DISK\disributiv\графика\a.photoshop_cs2_9_rus\CRACK\KEYGEN.EXE (Trojan.Agent.CK) -> No action taken.
f:\E-DISK\disributiv\графика\coreldraw13_rus\CRACK\cdrsuitkg.exe (RiskWare.Tool.CK) -> No action taken.
h:\проги\thinstall\webpagemaker_3.03\400000fe00002i\chrome.exe (Trojan.Agent) -> No action taken.

Все файлы из \system volume information\ мы удалим на заключительном этапе, сейчас удалять не нужно.

Эти записи невредоносны:

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
 

kuss

Активный пользователь
Сообщения
10
Реакции
0
Баллы
391
удалила. как быть дальше?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,666
Баллы
753
Внимание, смените все пароли ICQ, почта и т.п.

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивируса (обновлять антивирусные базы и модули).

- установите Internet Explorer 8.0 и все последние обновления для него (даже если им не пользуетесь)
- установите последние обновления для Microsoft Office
- обновите до последней версии Java
- обновите до последней версии Adobe Reader
- обновите до последней версии Adobe Flash Player
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,666
Баллы
753
как это сделать?

  1. Создать еще одну учетную запись с ограниченными правами, или создать учетную запись с администраторскими правами, а свою понизить в правах.
  2. Поставить на все учетные записи сложные пароли.
  3. Затем работать, играть, быть в интернеть только из-под ограниченной записи.
  4. Административную использовать только для установки новых программ и драйверов.

скажите пожалуйста, а для хрома есть подобное расширение?

Есть

После установки расширения на панели инструментов появится такой значок
теперь при загрузке страницы, если страница работает и отображается нормально, делать ничего не надо, в обратном случае жмем на эту кнопку и разрешаем выполнение скриптов на этой странице.

Так же советую расширение WOT
 

kuss

Активный пользователь
Сообщения
10
Реакции
0
Баллы
391
спасибо большое,вроде все чисто)
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,666
Баллы
753
И Вам желаем чистого интернета.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу